Кибератаки на Украину, Казахстан, Израиль, Индию участились

Согласно отчету, опубликованному в понедельник, злоумышленник, идентифицированный исследователями как UAC-0063, после атаки на нераскрытое украинское госучреждение также попытался атаковать Монголию, Казахстан, Кыргызстан, Израиль и Индию.

Первоначально исследователи обнаружили активность, связанную с UAC-0063, в 2021 году, но происхождение группы остается неясным.

Целью его атак, по данным CERT-UA, является сбор разведданных

В своей последней апрельской кампании

хакеры использовали скомпрометированную учетную запись электронной почты посольства Таджикистана в Украине,

чтобы отправить вредоносное электронное письмо в украинское государственное учреждение.

Письмо якобы было приглашением на предполагаемую встречу с посольством, но на самом деле его целью было заражение получателя вредоносными программами. Команда CERT-UA обозначила их как:

• LOGPIE — кейлоггер, который фиксирует и регистрирует каждое нажатие клавиши, включая пароли, имена пользователей, сообщения и другую конфиденциальную информацию, введенную пользователем
• CHERRYSPY — бэкдор, выполняющий код Python, полученный от управляющего сервера
• STILLARCH — вредоносное ПО, используемое для поиска и извлечения файлов

Чтобы затруднить расследование и атрибуцию своих атак, хакеры использовали программные инструменты PyArmor и Themida, которые защищают программы от обратной разработки, несанкционированного доступа и кражи кода.

Чтобы свести к минимуму влияние атаки этой группы, CERT-UA рекомендует организациям ограничивать выполнение пользователями утилиты Windows «mshta.exe», а также приложений Windows Script Host «wscript.exe» и «cscript.exe» вместе с интерпретатором Python.

Исследователи кибербезопасности отслеживают несколько кампаний кибершпионажа, направленных против Украины. В феврале аналитики Symantec заявили, что группа, известная как Nodaria или UAC-0056, использовала вредоносное ПО, известное как Graphiron, против целей в Украине.

Источник: TheRecord